Microsoft Defender XDR на портале Microsoft Defender

Портал Microsoft Defender в централизованном https://security.microsoft.com расположении объединяет защиту, обнаружение, исследование и реагирование на угрозы во всей организации и всех ее компонентах. Портал Defender делает акцент на быстром доступе к информации, упрощении макетов и объединении связанной информации для более удобного использования. Она включает в себя Microsoft Defender XDR, а также функции и возможности других решений майкрософт по обеспечению безопасности, к которым вы подготовили доступ.

Дополнительные сведения о службах, входящих в состав портала Microsoft Defender, см. в следующих ресурсах:

• Microsoft Defender для конечной точки на портале Microsoft Defender
• Microsoft Defender для Office 365 на портале Microsoft Defender
• Microsoft Defender для удостоверений на портале Microsoft Defender
• Microsoft Defender for Cloud Apps на портале Microsoft Defender
• Microsoft Defender для оповещений и инцидентов в облаке на портале Microsoft Defender
• Защита от потери данных Microsoft Purview оповещений на портале Microsoft Defender
• Управление уязвимостями Microsoft Defender на портале Microsoft Defender
• Microsoft Security Copilot внедренный интерфейс на портале Microsoft Defender
• Microsoft Defender для корпоративного мониторинга Интернета вещей на портале Microsoft Defender
• Microsoft Sentinel на портале Microsoft Defender
• Управление внутренними рисками Microsoft Purview оповещения на портале Microsoft Defender

Важно!

Microsoft Sentinel общедоступна на единой платформе операций безопасности Майкрософт на портале Microsoft Defender. В предварительной версии Microsoft Sentinel доступны на портале Defender без Microsoft Defender XDR или лицензии E5. Дополнительные сведения см. в разделе Microsoft Sentinel на портале Microsoft Defender.

Просмотрите это короткое видео, чтобы узнать о портале Defender.

Чего можно ожидать

Microsoft Defender XDR сопоставляет сигналы от различных решений майкрософт по обеспечению безопасности на портале Microsoft Defender, чтобы помочь группам безопасности исследовать атаки и реагировать на них в наборе унифицированных интерфейсов для:

• Оповещений и инцидентов
• Охоты на угрозы
• Действия & отправки
• Аналитика угроз

Портал Microsoft Defender подчеркивает единство, ясность и общие цели. Поиск сущностей и уведомлений также унифицирован на портале.

Примечание.

На портале Microsoft Defender клиенты видят только функции безопасности, которые входит в их подписку. Например, если у вас есть Defender для Office 365, но не Defender для конечной точки, вы увидите функции и возможности для Defender для Office 365, но не для защиты устройств.

Исследование инцидентов и оповещений

Microsoft Defender XDR сопоставляет оповещения и события из всех решений безопасности Майкрософт во всех ресурсах во всей организации в инциденты. Инциденты — это набор оповещений, связанных с одной угрозой или атакой. Инциденты определяются в первую очередь в зависимости от серьезности угрозы и потенциального воздействия на вашу организацию.

При выборе имени инцидента отображается страница, демонстрирующая ценность централизации сведений о безопасности, так как вы получаете более подробные сведения о полном расширении угрозы, от электронной почты до удостоверений и конечных точек.

Найдите время, чтобы просмотреть инциденты в вашей среде, детализировать каждое оповещение и попрактиковаться, чтобы понять, как получить доступ к информации и определить дальнейшие шаги в анализе.

Дополнительные сведения см. в разделе Инциденты на портале Microsoft Defender.

Охота

Вы можете создавать настраиваемые правила обнаружения и искать определенные угрозы в вашей среде. Охота использует средство охоты на угрозы на основе запросов, которое позволяет упреждающе проверять события в организации для обнаружения индикаторов угроз и сущностей. Эти правила выполняются автоматически, чтобы проверка для, а затем реагировать на предполагаемые действия нарушения, неправильно настроенные компьютеры и другие результаты.

Дополнительные сведения см. в статье Упреждающая охота на угрозы с помощью расширенной охоты в Microsoft Defender XDR.

Действия и отправки

Действия — это задачи, выполняемые на сущностях на портале Microsoft Defender. Действия могут выполняться для ресурса, например устройства или пользователя, могут выполняться для одной или нескольких сущностей одновременно и выполняться вручную или автоматически.

Автоматизированные действия — это возможности Microsoft Defender XDR, которые помогают устранять оповещения и инциденты автоматически и быстро реагировать на атаки. К автоматическим действиям относятся:

• Автоматизированный анализ угроз и реагирование на них
• Нарушение атак
• Обман

Эти действия можно просмотреть и управлять ими на странице Центра уведомлений на портале Microsoft Defender.

Вы можете отправлять файлы, сообщения электронной почты и вложения электронной почты, URL-адреса или сообщения Teams на странице Отправки в корпорацию Майкрософт для дальнейшего анализа. Дополнительные сведения см. в руководстве по отправке.

Аналитика угроз

Аналитика угроз — это решение Microsoft Defender XDR аналитики угроз от экспертов майкрософт по безопасности. Он предназначен для того, чтобы помочь группам безопасности быть максимально эффективными при решении возникающих угроз, таких как:

• Активные участники угроз и их кампании
• Популярные и новые приемы атаки
• Критические уязвимости
• Распространенные направления атак.
• Распространенные вредоносные программы.

параметры Microsoft Defender XDR

Вы можете управлять параметрами для Microsoft Defender XDR на > странице Параметры Microsoft Defender XDR на портале Microsoft Defender. На странице параметров можно настроить следующее:

• Email уведомления об инцидентах, действиях реагирования и отчетах по аналитике угроз.
• Разрешения и роли
• API потоковой передачи
• Управление правилами ресурсов
• Настройка оповещений
• Управление критически важными ресурсами

Единый поиск и уведомления

Глобальный поиск

Функция поиска на портале Microsoft Defender находится в верхней части страницы. По мере ввода предоставляются предложения, чтобы было проще находить сущности. Страница расширенных результатов поиска централизована для всех сущностей.

Результаты поиска классифицируются по разделам, связанным с условиями поиска. На портале Microsoft Defender можно выполнять поиск по следующим сущностям:

• Устройства поддерживаются для Defender для конечной точки, Defender для удостоверений, Defender для облака и Microsoft Sentinel.
• Пользователи поддерживаются для Defender для конечной точки, Defender для удостоверений, Defender for Cloud Apps и Microsoft Sentinel.
• Файлы, IP-адреса и URL-адреса — те же возможности, что и в Defender для конечной точки.

  Примечание.

  Поиск по IP-адресам и URL-адресам основан на точном совпадении и не отображается на странице результатов поиска— они ведут непосредственно к странице сущности.

• Управление уязвимостями Microsoft Defender — те же возможности, что и в Defender для конечной точки (уязвимости, программное обеспечение и рекомендации).

Поиск также предоставляет результаты по соответствующим ссылкам на портале Microsoft Tech Community, соответствующей документации в Microsoft Learn, элементам навигации на портале и ссылке, где можно предоставить отзыв. Журнал поиска хранится в браузере и доступен в течение следующих 30 дней.

Уведомления

Уведомления — это сообщения, которые информируют вас о важных событиях или обновлениях на портале Defender. Они помогают вам оставаться в курсе задач безопасности и оповещений.

Уведомления находятся на верхней панели пользовательского интерфейса портала. Вы можете получить доступ к ним, щелкнув значок уведомления, который выглядит как колокольчик. Число на значке указывает, что у вас есть такое количество непрочитанных уведомлений.

Уведомления могут сообщать о различных типах событий или обновлений:

• Успешно: когда действие или задача успешно завершены, например сканирование устройства или применение политики.
• Выполняется: при выполнении действия.
• Сведения: при наличии некоторых сведений, которые могут оказаться полезными.
• Предупреждение: при наличии потенциальной проблемы или риска, о которых следует знать, например о устройстве, которое не соответствует требованиям, или политике, которую необходимо обновить.
• Ошибка: при возникновении ошибки или сбоя, требующего вашего внимания, например при удалении или слиянии инцидента, неудачном сканировании или политике, которая не может быть применена.

Каждое уведомление содержит заголовок и содержимое, в которых содержатся соответствующие сведения о событии или обновлении. Каждое уведомление также имеет метку времени, показывающую время создания уведомления.

Уведомления можно скрыть в представлении. Вы можете закрыть одно уведомление, щелкнув значок x в правой части уведомления. Вы также можете закрыть все уведомления в списке одним щелчком, используя команду Закрыть все в верхней части панели уведомлений.

При закрытии уведомления оно не удаляется с портала. Вы всегда можете просмотреть уведомления об увольнении, выбрав показать отклоненные в нижней части панели уведомлений.

Уведомления сортируются по времени создания на панели уведомлений, при этом в первую очередь отображаются последние уведомления. Вы можете прокрутить список уведомлений, чтобы просмотреть старые уведомления.

Обучение аналитиков безопасности

С помощью этой схемы обучения от Microsoft Learn вы можете понять, Microsoft Defender XDR и как она может помочь выявлять, контролировать и устранять угрозы безопасности.

Учебный курс.	Устранение угроз с помощью Microsoft Defender XDR
	Анализируйте данные об угрозах в разных доменах и быстро устраняйте угрозы с помощью встроенной оркестрации и автоматизации в Microsoft Defender XDR. Эта схема обучения соответствует экзамену SC-200: Microsoft Security Operations Analyst. 9 ч. 31 мин. Схема обучения — 11 модулей

Начало >

См. также

• Новые возможности Microsoft Defender XDR

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.